# AN0910 — Analytic 0910 ## Descrição Este analytic detecta a execução de QEMU, KVM ou VirtualBox com flags incomuns como `-nographic` ou `-snapshot`, e a criação de imagens de VM em diretórios atípicos. A telemetria inclui logs de auditoria do kernel (auditd) para execuções de processo e modificações de arquivos vinculadas à virtualização oculta. Em Linux, a execução de instâncias virtuais furtivas é utilizada por adversários para isolar operações maliciosas dentro de um guest não monitorado, ocultando malware do EDR instalado no sistema host e complicando investigações forenses. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564-006-run-virtual-instance|T1564.006 — Run Virtual Instance]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0910](https://attack.mitre.org/detectionstrategies/DET0321#AN0910)*